#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.

Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.

Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.

Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.

#ParsedReport #CompletenessMedium
21-08-2025

Hunting for Malware Networks

https://dti.domaintools.com/hunting-for-malware-networks/

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Deerstealer
Redline_stealer
Rugmi
Blackbasta
Darkgate

Industry:
Energy, Telco

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1583.004, T1583.006

IOCs:
IP: 4
Domain: 38
File: 2
Hash: 3
Url: 15

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает, что поставщики вредоносного ПО как услуги все чаще используют размещенные скрипты PowerShell для облегчения многоэтапного развертывания вредоносного ПО. Несмотря на действия правоохранительных органов против LummaStealer, он сохраняется в экосистеме киберпреступников, часто распространяясь через пуленепробиваемые хостинговые сервисы, в частности, привязанный к определенным IP-адресам C2. Продолжающаяся зависимость от известных семейств вредоносных ПО, таких как LummaStealer, отражает способность злоумышленников адаптироваться к попыткам нарушить их работу.
-----

Недавний анализ методов доставки вредоносного ПО выявляет текущие проблемы в выявлении и отслеживании новой инфраструктуры вредоносного ПО. Заметная тенденция среди поставщиков вредоносного ПО как услуги включает использование размещенных сценариев PowerShell, которые служат ссылками для последующей загрузки и выполнения вредоносного ПО. Этот метод демонстрирует изощренность, которую используют злоумышленники для облегчения многоэтапного развертывания вредоносного ПО.

Несмотря на усилия правоохранительных органов, включая значительное удаление LummaStealer в мае 2025 года, семейство вредоносных ПО продолжает проявлять постоянную активность, оставаясь предпочтительным выбором среди киберпреступников. В частности, LummaStealer часто развертывается с помощью пуленепробиваемых служб хостинга, которые обеспечивают устойчивую инфраструктуру для вредоносных операций. Расследование IP—адресов Command and Control (C2), а именно 185.156.72.96 и 185.156.72.2 — оба связаны с AS61432, предположительно функционирующим как пуленепробиваемый хостинг-сервис - выявляет продолжение операций LummaStealer.

Кроме того, хотя в июне были признаки экспериментов с альтернативным вредоносным ПО, данные свидетельствуют о том, что эти попытки не оказали существенного воздействия на распространенность LummaStealer, который остается укоренившимся в ландшафте угроз. Это подчеркивает адаптивность и закрепление злоумышленников, использующих известные семейства вредоносных ПО, несмотря на попытки нарушить их работу. Анализ показывает, что инфраструктура LummaStealer's и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними.

#ParsedReport #CompletenessLow
25-08-2025

Warlock ransomware: Opportunistic campaigns with strategic implications

https://fieldeffect.com/blog/warlock-ransomware

Report completeness: Low

Actors/Campaigns:
Warlock
Storm-2603

Threats:
X2anylock
Lockbit
Toolshell_vuln
Blackbasta

Victims:
Telecommunications

Industry:
Telco, Financial, E-commerce, Government

Geo:
China, Chinese

Soft:
Microsoft SharePoint

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
21 августа 2025 года Colt Technology Services столкнулась с несанкционированным доступом к своим внутренним системам из-за Warlock ransomware, связанного с хакерской группировкой Storm-2603. Этот инцидент указывает на более широкую модель "Вымогательство как услуга", когда различные операторы могут совместно использовать инструменты для вымогательства, что усложняет идентификацию угроз. Эволюционирующий характер этих атак подчеркивает сохраняющиеся риски, которые представляют программы-вымогатели для критически важной инфраструктуры.
-----

21 августа 2025 года Colt Technology Services, телекоммуникационный провайдер в Великобритании, сообщил о несанкционированном доступе к своим внутренним системам, подтвердив извлечение некоторых данных после того, как ранее, 12 августа, были отмечены сбои в работе. Этот инцидент подчеркивает угрозу, исходящую от Warlock ransomware, которая связана с хакерской группировкой, известной как Storm-2603. Однако окончательная атрибуция все еще неясна, что указывает на то, что Storm-2603 может работать не исключительно с Warlock, а может быть клиентом в рамках более широкой модели "Программа-вымогатель как услуга" (RaaS).

Действия, приписываемые Warlock, предполагают совместные усилия различных операторов в рамках RaaS, которые совместно используют доступ к различным наборам программ-вымогателей, включая LockBit Black. Это открытие подтверждает предположение о том, что множество преступных организаций могут использовать штамм Warlock, что делает его важным инструментом для оппортунистических киберкампаний. Такая динамика в ландшафте киберугроз усложняет выявление и смягчение угроз, создаваемых такими акторами, как Storm-2603, поскольку их участие в использовании множества программ-вымогателей может затуманить их операционные схемы и методологии.

Ситуация подчеркивает необходимость того, чтобы организации сохраняли бдительность в отношении возникающих угроз со стороны программ-вымогателей и соответствующим образом адаптировали свои стратегии кибербезопасности, учитывая эволюционирующие методы и совместный характер внедрения программ-вымогателей в экосистеме киберпреступников. Инцидент служит напоминанием о постоянном риске, который программа-вымогатель представляет для критически важной инфраструктуры, и о важности надежных механизмов защиты для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
25-08-2025

The Resurgence of IoT Malware: Inside the Mirai-Based Gayfemboy Botnet Campaign

https://www.fortinet.com/blog/threat-research/iot-malware-gayfemboy-mirai-based-botnet-campaign

Report completeness: Medium

Threats:
Mirai
Gayfemboy
Xmrig_miner
Bashlite
Netstat_tool
Tcpsynflood_technique
Udpflood_technique
Tcpflood_technique
Synflood_technique
Icmpflood_technique

Victims:
Iot device vendors products

Industry:
Iot

Geo:
Chinese, Switzerland, France, Mexico, Germany, Israel, Brazil, Vietnam

ChatGPT TTPs:
do not use without manual check
T1027, T1190

IOCs:
IP: 7
Domain: 5
Hash: 51

Soft:
zyxel, Linux, curl

Algorithms:
base64

Platforms:
arm, intel, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Gayfemboy, усовершенствованный вариант вредоносного ПО Mirai, нацелен на различные устройства Интернета вещей и сетевое оборудование таких поставщиков, как DrayTek и Cisco, демонстрируя передовые методики атак. Он использует новую технику запутывания, присваивая архитектурам устройств уникальные имена, что усложняет традиционные усилия по обнаружению. Эта эволюция подчеркивает тревожную тенденцию к усложнению вредоносного ПО, требующую улучшения анализа угроз для эффективного устранения возникающих киберрисков.
-----

Возрождающаяся ботнет-кампания Gayfemboy, основанная на хорошо известном вредоносном ПО Mirai, отслеживалась главным образом FortiGuard Labs, поскольку она использует различные уязвимости в устройствах Интернета вещей (IoT). Эта кампания, впервые выявленная китайской фирмой по кибербезопасности, недавно активизировала деятельность, направленную на сетевое оборудование от нескольких поставщиков, в частности DrayTek, TP-Link, Raisecom и Cisco. Ботнет демонстрирует значительную эволюцию в своей тактике и оперативном поведении, что указывает на переход к более изощренным методам атак.

Вредоносное ПО демонстрирует начальный уровень запутывания при выполнении процесса загрузки. В отличие от традиционных вариантов вредоносного ПО Mirai и Gafgyt, которые обычно используют предсказуемые соглашения об именах, основанные на архитектуре Linux, Gayfemboy присваивает уникальные имена для каждой архитектуры устройства. Такая стратегия не только усиливает его маскировку, но и усложняет усилия по обнаружению с помощью традиционных мер безопасности.

Эволюция Gayfemboy демонстрирует тревожную тенденцию в сфере кибербезопасности, где вредоносное ПО становится все более сложным и искусным в обходе протоколов безопасности. Эта тенденция подчеркивает настоятельную необходимость принятия организациями упреждающих мер безопасности, которые включают регулярное исправление программного обеспечения и всесторонний анализ угроз. Поскольку ландшафт угроз продолжает развиваться, эффективные контрмеры потребуют не только стратегий реагирования, но и подхода, основанного на разведданных, для предвидения и снижения рисков, создаваемых возникающими угрозами, такими как Gayfemboy.

#ParsedReport #CompletenessHigh
25-08-2025

APT36: Targets Indian BOSS Linux Systems with Weaponized AutoStart Files

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique

Victims:
Indian government, Military, Diplomatic institutions, Education sector, Defense contractors, Critical infrastructure

Industry:
Military, Education, Critical_infrastructure, Government

Geo:
Seychelles, Pakistan, Indian

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 3
Domain: 2
Url: 1
IP: 1
Hash: 5

Soft:
Linux, curl, Firefox, systemd, Unix

Algorithms:
exhibit, md5, sha256

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, в частности, использующей уязвимости в системах BOSS Linux. Они используют файлы .desktop, чтобы получить первоначальный доступ, запуская оболочку Bash, которая извлекает измененную полезную нагрузку в шестнадцатеричном коде — 64-разрядный исполняемый файл ELF для постоянной связи с сервером C2. Их тактика также включает в себя Целевой фишинг и заказное вредоносное ПО, расширяя цели до образовательных и оборонных подрядчиков для сбора разведывательных данных в соответствии с военными интересами.
-----

APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, с недавним акцентом на использование уязвимостей в системах BOSS Linux. Группа демонстрирует возросшую изощренность в своей тактике, используя оружейные файлы .desktop для облегчения первоначального доступа и поддержания закрепления в целевых средах.

Поток атак начинается со вредоносного ПО .файл рабочего стола, предназначенный для запуска оболочки Bash, которая извлекает полезную нагрузку в шестнадцатеричном коде с сервера, контролируемого злоумышленниками. Полезная нагрузка представляет собой 64-разрядный исполняемый файл ELF, идентифицированный с помощью статического анализа, который обладает характеристиками, указывающими на подделку. Вредоносное ПО содержит жестко закодированные ссылки на сервер управления (C2), обеспечивающий постоянную связь для выполнения команд и эксфильтрации данных.

После запуска вредоносное ПО инициирует службу system-update.service, позволяя ей автоматически запускаться во время сеансов на уровне пользователя, обеспечивая тем самым непрерывный доступ. Это развитие отражает эволюцию стратегии APT36's, в которой особое внимание уделяется возможностям двухплатформенности и постоянному доступу как важнейшим компонентам их операций против индийского правительства, военных объектов и инфраструктуры.

Кампании, связанные с APT36, многогранны и, как правило, используют Целевой фишинг электронных писем и пользовательское вредоносное ПО для проникновения в сети. Они расширили параметры своей мишени, включая подрядчиков в сфере образования и обороны, что еще раз подчеркивает их стратегическую цель по сбору конфиденциальных разведывательных данных, соответствующих военным интересам Пакистана.

Недавнее использование защищенных файлов .desktop иллюстрирует адаптивное использование инструментов APT36's для обхода стандартных мер безопасности, подчеркивая важность бдительности в отношении Целевых фишинг-атак и уязвимостей Linux. Установленные вредоносные домены отражают временный характер инфраструктуры группы, позволяя им быстро развертывать полезные нагрузки при минимальном обнаружении. Таким образом, организации должны оставаться осведомленными об этой тактике и усиливать свои меры защиты от таких целенаправленных угроз.

#ParsedReport #CompletenessMedium
25-08-2025

Like PuTTY in Admins Hands

https://levelblue.com/blogs/security-essentials/like-putty-in-admins-hands

Report completeness: Medium

Threats:
Putty_tool
Kerberoasting_technique
Oyster
Nltest_tool
Rubeus_tool
Impacket_tool
Powersploit_tool
Lolbin_technique
Plink_tool
Typosquatting_technique

Victims:
Organizations using privileged user accounts, It administrators

ChatGPT TTPs:
do not use without manual check
T1036, T1053.005, T1059.001, T1218.011, T1553.002

IOCs:
File: 9
Domain: 13
Hash: 12
IP: 5
Url: 8

Soft:
Active Directory, WordPress, FireFox

Algorithms:
aes, sha256

Functions:
GetUserSPNs

Win API:
DllRegisterServer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный вариант SSH-инструмента PuTTY распространялся посредством Вредоносной рекламы, что приводило к компрометации, связанной с действиями привилегированных пользователей. Исполняемый файл, замаскированный под законное программное обеспечение, отображал признаки вредоносного поведения, включая механизмы закрепления с помощью запланированной задачи, которая выполняла вредоносный DLL-файл и пыталась выполнить Керберостинг, метод, предназначенный для учетных записей Active Directory для получения паролей учетных записей служб. Оперативный центр безопасности отреагировал, изолировав уязвимую систему и проведя поиск угроз для получения дополнительных компрометаций.
-----

Описанный инцидент связан с киберугрозой, связанной со вредоносным вариантом законного SSH-инструмента PuTTY, который распространялся посредством Вредоносной рекламы. Недавно Центр операций безопасности LevelBlue (SOC) обнаружил несколько компрометаций, связанных с действиями привилегированных пользователей, инициированными этим вредоносным исполняемым файлом. Красные флажки были подняты, когда предупреждение SentinelOne отметило загрузку файла с именем PuTTY.exe , который был подписан NEW VISION MARKETING LLC, организацией, не связанной с законным программным обеспечением.

При дальнейшем расследовании было выявлено несколько признаков вредоносного поведения, включая потенциальные попытки Керберостинга и подозрительные действия PowerShell. Вредоносный исполняемый файл установил закрепление в уязвимой системе, создав запланированную задачу с именем "Средство обновления безопасности". Эта задача запустила вредоносный файл библиотеки динамических ссылок (DLL), twain_96.dll , с трехминутными интервалами в течение rundll32.exe , указывающий на попытку сохранить долгосрочный доступ к системе.

В ходе анализа особое внимание было уделено Керберостингу. Этот метод нацелен на учетные записи службы Active Directory с использованием протокола аутентификации Kerberos. Это позволяет злоумышленнику с действительной учетной записью пользователя домена запрашивать заявки на обслуживание Kerberos для учетных записей с определенным именем участника службы (SPN). Полученные служебные билеты шифруются с использованием ключа, полученного из пароля учетной записи службы, что позволяет потенциальным злоумышленникам восстановить пароль с помощью автономных атак, как только они получат доступ к билетам.

В ответ на инцидент команда SOC предприняла быстрые действия, отключив скомпрометированный ресурс от сети и посоветовав клиенту отключить соответствующую учетную запись пользователя. Исследователи угроз из LevelBlue расширили свои усилия по реагированию, проведя поиск угроз по всему клиентскому парку, чтобы выявить любые другие признаки компрометации, связанные с этой троянской версией PuTTY. Этот инцидент подчеркивает острую необходимость проявлять бдительность в отношении целостности программного обеспечения и потенциальных рисков, связанных со злоупотреблением привилегиями в организациях.

#ParsedReport #CompletenessLow
26-08-2025

DNS Tunneling: The Blind Spot in Your Network Security Strategy

https://www.netskope.com/blog/dns-tunneling-the-blind-spot-in-your-network-security-strategy

Report completeness: Low

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Dnspot_tool
Dnscat2_tool

Victims:
Organizations using dns, Enterprises

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004

IOCs:
File: 5
Path: 3

Soft:
sudo, Docker

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DNS tunneling - это серьезная киберугроза, которая позволяет злоумышленникам акторам маскировать незаконные действия в рамках законного трафика DNS, что часто приводит к эксфильтрации данных и операциям управления (C2). Такие инструменты, как Iodine и dnspot, используются для туннелирования данных через DNS-запросы, облегчая скрытую связь даже в условиях ограниченного доступа. Dnscat2 является примером передовых методов установления структурированных каналов C2 через DNS, что оказывается сложной задачей для обнаружения и смягчения обычных средств защиты.
-----

DNS tunneling стал важным вектором угроз из-за его способности маскировать вредоносную активность в рамках законных протоколов DNS. Традиционно система доменных имен (DNS) используется для преобразования доменных имен в IP-адреса, но ее повсеместное присутствие в сетевом трафике часто приводит к злоупотреблениям со стороны киберпреступников для эксфильтрации данных и операций управления (C2). Злоумышленники используют разрешительный характер DNS-трафика, который часто пропускается через брандмауэры, что позволяет им скрытно передавать незаконные данные.

Такие инструменты, как Iodine и dnspot, показывают, как DNS можно использовать в качестве оружия. Iodine облегчает туннелирование данных IPv4 через DNS-запросы, обеспечивая связь в средах, где прямой доступ в Интернет ограничен. Dnspot функционирует аналогично, обеспечивая скрытую передачу данных и управление связью C2 через DNS-запросы и ответы. Используя такие методы, злоумышленники-акторы могут отфильтровывать информацию и поддерживать присутствие в скомпрометированных сетях, не вызывая подозрений. Примечательно, что dnscat2 является примером более сложного инструмента, позволяющего использовать структурированные каналы C2 через DNS-трафик, таким образом обходя стандартную защиту брандмауэра, которая обычно разрешает обмен DNS.

Меры безопасности против DNS tunneling должны включать не только обнаружение, но и проактивное управление DNS-трафиком. Угроза DNS tunneling усугубляется его скрытностью, поскольку он использует протокол, признанный безвредным. Эффективные стратегии защиты включают строгий контроль за использованием DNS, мониторинг аномальных шаблонов запросов и внедрение систем обнаружения, предназначенных для выявления поведения при DNS tunneling, о чем свидетельствуют конфигурации обнаружения угроз, подобные тем, которые доступны в Netskope.

Подводя итог, можно сказать, что для снижения рисков, связанных с атаками на основе DNS, организации должны применять комплексный подход, который включает в себя как технологию, так и политику, расширяя возможности мониторинга и реагирования на этот все чаще используемый вектор атак. Осведомленность о потенциале DNS tunneling's и инструментах, которые его облегчают, жизненно важна для разработки эффективных стратегий безопасности в условиях, когда традиционные средства защиты могут оказаться неэффективными.

#ParsedReport #CompletenessHigh
25-08-2025

Deception in Depth: PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats

https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Staticplugin
Plugx_rat
Aitm_technique
Canonstager

Victims:
Diplomats, Government

Industry:
Government

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1071.001, T1082, T1106, T1140, T1189, T1204.002, T1218, T1553.002, have more...

IOCs:
File: 9
Url: 4
IP: 2
Domain: 1
Registry: 1
Path: 2
Hash: 8

Soft:
Gmail, Chrome, openssl, Windows security

Algorithms:
base64, md5, sha256, rc4

Functions:
myFunction, GetCurrentDirectoryW

Win API:
EnumSystemGeoID, ExitProcess, ShowWindow, GetMessageW, TranslateMessage, DispatchMessage

Languages:
javascript

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4